Leaders League: Em primeiro lugar, como você avalia o panorama atual de adequação das empresas brasileiras à LGPD? Como está este nível de maturidade?

Marcos Sêmola: Falar do mercado brasileiro como uma única referência é uma péssima ideia, porque o mercado brasileiro é segmentado por setores, indústrias, que têm características diferentes, seja na sua capacidade de investimento, seja na sensibilidade ao tema de privacidade, por conta do volume de dados pessoais que elas tratam, por exemplo. Depende também muito do quão regulado é aquele setor. E ainda existem especificidades das próprias empresas: algumas são de capital aberto, capital fechado, listadas em bolsa... Então tudo isso interfere na velocidade com que elas podem reagir a uma demanda de LGPD, mas também na capacidade de investir rapidamente e produzir resultado. Então o mercado brasileiro hoje é uma grande salada de frutas, das mais diferentes texturas, sabores, tamanhos, cores... Esse é o cenário.

Para sair da abstração e falar um pouco mais de fatos, nós na EY produzimos junto com a Associação Brasileira de Empresas de Software (Abes) um self assessment gratuito que está disponível no mercado. Das quase 5.000 empresas que já responderam no Brasil, de vários setores e portes, o percentual de aderência aos requerimentos da LGPD ainda beira os 40%. Esse é um indicador. Mas tem um indicador muito forte que eu enxergo quando converso com os clientes: há uma interpretação ainda muito equivocada do que é estar em conformidade com a LGPD. Enquanto alguns acham que é comprar um software, outros pensam que é só revisar contratos. E alguns outros até pensam que é revisar contratos, treinar pessoas, criar políticas, instalar softwares, adequar infraestruturas de TI. Mesmo essas que pensam em tudo isso, elas não conseguiram fazer tudo isso em todo escopo da empresa no tempo que tiveram; 2 anos é muito pouco. Então o mercado brasileiro em geral ainda não pode se declarar em conformidade com a LGPD.

Como tem sido a experiência de vocês com a ferramenta de diagnóstico LGPD? Tem tido algum feedback das empresas que procuram? Como tem impactado a atuação de vocês?

O primeiro passo para qualquer empresa que percebeu que a LGPD não é negociável é fazer o assessment, entender o problema. Mas o problema começa fazendo o assessment. Porque muitas empresas que encomendam o assessment encomendam mal, porque entenderam mal o escopo da LGPD. Em alguns casos um cliente mal preparado para o tema acaba caindo na armadilha de fornecedores que ou não tem também a mesma percepção de escopo adequada, ou tendenciosamente querem vender aquilo que eles sabem fazer. Você vê anúncios de empresas que dizem que preparam para LGPD em 48 horas, em 7 dias, em 2 meses. Isso é impossível. Então o problema é que há um grande volume de empresas que não entendem o problema e procuram uma solução errada, e empresas que não entendem o problema e aceitam soluções parciais. E elas estão ocupadas fazendo um pseudo assessment que é parcial, que não resolve o problema, que não vai dar para ela um diagnóstico preciso. É como se nós fôssemos descrentes da medicina, ou totalmente ignorantes do tema, e sua academia pediu que você apresentasse um atestado médico, fizesse um checkup. Você pode simplesmente ir a um posto de saúde pedir para tomarem sua temperatura, sua pressão e atestarem que você está bem em sua forma física. Isso não é um checkup. Você pode, por outro lado, ir a um clínico geral e pedir a ele um hemograma – que é um bom exame, mas não é um checkup médico. Nas duas situações, com dois diagnósticos parciais, você vai ser induzido ao erro de achar que está muito bem, quando pode estar muito mal. O assessment continua sendo um serviço muito desejado, muito procurado. E depois do assessment vem a implementação; e depois da implementação vem a operação de um escritório de privacidade. O que a gente tem conduzido as empresas a fazer e acredita que isso é o certo, é elas fazerem essas três fases continuamente. Ou seja: faz o assessment, implementa, opera o escritório de privacidade, verifica se precisa aprimorar alguma coisa, se tem alguma decisão judicial nova, se tem uma nova deliberação da ANPD... Aí, de novo, faz assessment, implementa e amplia o escritório. É um modelo continuado.

A figura do encarregado de dados é exigida pela LGPD, exceto para empresas de pequeno porte. A EY tem o serviço DPO Support on Demand, prestando serviços aos clientes. Como tem sido a experiência de vocês com esta ferramenta?

Nós, como firma, miramos muito nas empresas de grande porte. Então não estamos olhando para pequenas e médias; essas empresas estão sujeitas a um nível de exigência menor em relação ao encarregado de dados, não é nem mais exigido o encarregado para elas. Olhando para as grandes, a gente não acredita em encarregados terceirizados, ou seja, o velho DPO as a service. Para nós não funciona. Porque o DPO no Brasil para a LGPD tem um papel de orquestrador. É a pessoa que tem que identificar riscos, analisar possibilidades e alternativas para mitigar esses riscos, apresentá-las para a liderança, contratar produtos e serviços, manter uma equipe operando o escritório de privacidade, que pode ser uma equipe própria ou terceirizada. Então a gente acredita que esse DPO tem que ser alguém que conheça a empresa, as pessoas, os processos. Então, por causa disso, nós criamos com muito sucesso o serviço chamado DPO Support on Demand. É um modelo de suporte ao DPO da empresa. Que é sob demanda, porque a Lei é um organismo vivo, ela está nos seus primeiros degraus. O tempo vai fazer com que o tipo de demanda que o DPO vai precisar de apoio vá aumentando em volume, mudando em forma... Então a gente montou uma estrutura multidisciplinar que atende múltiplas empresas e até mesmo países para o apoio ao DPO. Se você falar que tem uma empresa com operação na China, a gente tem uma operação que cobre a China, com conhecimento das leis chinesas, para harmonizar as leis. Na Europa, Austrália e África também. A gente consegue fazer essa cobertura com serviços que vão desde análise de contrato, cláusula contratual, treinamento, adequação de sistema, documentação de fluxo de dados, definição de base legal, implementação e rollout de software de orquestração, como o OneTrust, anonimização de dados... Todo o escopo do que é estar em conformidade com a LGPD, a gente oferece on demand.

Como a inteligência artificial pode ser uma aliada no processo de proteção de dados e segurança contra ciberataques?

É muito prematuro achar que alguém tem uma solução de inteligência artificial para dar uma solução end to end para privacidade. O que a gente vê é a possibilidade de a inteligência artificial produzir maior desempenho em certas tarefas. Como identificar um tratamento que possa representar risco, então ele acende um alerta ou manda uma notificação para o DPO ou para a equipe dele. Então a inteligência artificial pode perceber situações de risco: ‘Opa, isso aqui é um dado de uma criança! Isso pode ter risco. Será que é arriscado mesmo? Será que esse tratamento é adequado? Bota em quarentena, avisa para a equipe, coloca um flag, coloca em um mapa de riscos.’ Então a inteligência artificial é para isso, para criar velocidade em certas análises básicas que vão demandar a decisão de um humano.

O que podemos esperar da EY nesta frente de atuação para os próximos 12 meses?

Nós somos precursores das soluções de privacidade, iniciando o trabalho em 2017 na Europa com a GDPR. Nós já temos mais de 250 projetos. E esses projetos em empresas de grande porte, inclusive globais. A cada novo projeto a gente vai enriquecendo nosso leque de artefato de projeto e aceleradores. Então eu diria que você pode esperar que nós dobremos o nosso resultado em 12 meses, que é o que tem acontecido conosco nos últimos 3 anos. A gente vem dobrando nossa operação, nosso leque de ofertas de serviço. E esse que é o lado mais bonito da coisa: em algum momento, o mundo vai perceber que a operação de uma governança de privacidade de dados, ou uma governança de conformidade com as leis de privacidade, elas vão requerer não uma engrenagem ou duas, mas um sistema de engrenagens, que é multi país, multi sistema, multicultura, multi lei, multi política, multi contrato. Então só as grandes empresas, como nós, que têm esse conhecimento espalhado em 150 países, vamos poder oferecer uma solução holística, que integre tudo. Quando uma empresa de mineração brasileira que está presente em 15 países tem um problema de privacidade, ela quer resolver esse problema onde quer que ele apareça, em qualquer um dos 15 países. E a solução de um país tem que dialogar e harmonizar com as leis daquele país e com o que essa mesma empresa faz nos outros 15. E é aí que a gente entra: com essa capacidade holística de oferecer benefícios aos clientes assim, lendo o todo. 

Por: Danilo Motta